문제점

ID 방화벽 규칙의 게시 또는 업데이트가 실패합니다.

원인

IDFW(ID 방화벽)는 사용자 기반 DFW(분산 방화벽 규칙)를 허용합니다.

사용자 기반 분산 방화벽 규칙은 AD(Active Directory) 그룹 멤버 자격의 자격에 따라 결정됩니다. IDFW는 Active Directory 사용자가 로그인된 위치를 모니터링하고 DFW에서 방화벽 규칙을 적용하는 데 사용하는 IP 주소에 로그인을 매핑합니다. IDFW에는 Guest Introspection 프레임워크 및/또는 Active Directory 이벤트 로그 스크랩이 필요합니다.

프로시저

  1. Active Directory 서버 전체/델타 동기화가 NSX Manager에서 작동하는지 확인합니다.
    1. vSphere Web Client에서 NSX Manager에 연결된 vCenter에 로그인합니다.
    2. 홈 > Networking & Security > NSX Manager(Home > Networking & Security> NSX Managers)로 이동한 후 목록에서 NSX Manager를 선택합니다.
    3. 관리(Manage) 탭을 선택한 후 도메인(Domains) 탭을 선택합니다. 목록에서 도메인을 선택합니다. 마지막 동기화 상태(Last Synchronization Status) 열에 [성공]이 표시되고 마지막 동기화 시간(Last Synchronization Time)은 현재인지 확인합니다.
  2. 방화벽 환경이 로그인 감지에 이벤트 로그 스크랩 방법을 사용하는 경우 다음 단계에 따라 도메인에 대해 이벤트 로그 서버를 구성했는지 확인합니다.
    1. vSphere Web Client에서 NSX Manager에 연결된 vCenter에 로그인합니다.
    2. 홈 > Networking & Security > NSX Manager(Home > Networking & Security> NSX Managers)로 이동한 후 목록에서 NSX Manager를 선택합니다.
    3. 관리(Manage) 탭을 선택한 후 도메인(Domains) 탭을 선택합니다. 목록에서 도메인을 선택합니다. 여기서 자세한 도메인 구성을 보고 편집할 수 있습니다.
    4. 도메인 세부 정보에서 이벤트 로그 서버(Event Log Servers)를 선택하고 이벤트 로그 서버가 추가되었는지 확인합니다.
    5. 이벤트 로그 서버를 선택하고 마지막 동기화 상태(Last Sync Status) 열에 [성공]이 표시되고 마지막 동기화 시간(Last Sync Time)이 현재인지 확인합니다.
  3. 방화벽 환경이 Guest Introspection을 사용하는 경우 해당 프레임워크를 IDFW 보호 VM이 상주할 계산 클러스터에 배포해야 합니다. UI의 서비스 상태는 녹색입니다. Guest Introspection 진단 정보는 기술 자료 문서, vShield Endpoint/NSX Guest Introspection 문제 해결 https://kb.vmware.com/kb/2094261 및 VMware NSX for vSphere 6.x Guest Introspection Universal Service Virtual Machine에서 로그 수집 https://kb.vmware.com/kb/2144624에서 찾을 수 있습니다.
  4. 로그인 감지 방법의 구성이 올바른지 확인한 후에 NSX Manager가 로그인 이벤트를 수신하는지 확인합니다.
    1. Active Directory 사용자로 로그인합니다.
    2. 다음 명령을 실행하여 로그인 이벤트를 쿼리합니다. 사용자가 결과에 반환되는지 확인합니다. GET https://<nsxmgr-ip>/1.0/identity/userIpMapping.
      Example output:
      <UserIpMappings>
          <UserIpMapping>
              <ip>50.1.111.192</ip>
              <userName>user1_group20</userName>
              <displayName>user1_group20</displayName>
              <domainName>cd.ad1.db.com</domainName>
              <startTime class="sql-timestamp">2017-05-11 22:30:51.0</startTime>
              <startType>EVENTLOG</startType>
              <lastSeenTime class="sql-timestamp">2017-05-11 22:30:52.0</lastSeenTime>
              <lastSeenType>EVENTLOG</lastSeenType>
          </UserIpMapping>
      </UserIpMappings>
  5. Security Group이 방화벽 규칙에서 사용되는지 또는 할당된 보안 정책이 있는지 확인합니다. 다음 조건 중 하나가 충족되지 않으면 IDFW의 Security Group 처리는 진행되지 않습니다.
  6. IDFW가 로그인을 올바르게 감지한 후에 데스크톱 VM이 상주하는 ESXi 호스트가 올바른 구성을 수신하는지 확인합니다. 이러한 단계는 NSX Manager 중앙 CLI를 사용합니다. ip-securitygroup 목록에 채워진 데스크톱 VM IP 주소를 확인하려면
    1. GUID-51A3BC3F-2C7C-4387-BE55-5BE131EED9B0.html#GUID-51A3BC3F-2C7C-4387-BE55-5BE131EED9B0을 참조하여 데스크톱 VM에 적용된 필터 이름을 검색하십시오.
    2. DFW 찾기 규칙 항목을 확인하려면 show dfw host hostID filter filterID rules 명령을 실행합니다.
    3. ip-securitygroup 목록에 채워진 IP 주소를 보려면 show dfw host hostID filter filterID addrsets 명령을 실행합니다. 목록에 IP가 표시되는지 확인합니다.

결과

참고: VMware 기술 지원을 통해 ID IDFW 문제를 해결할 때는 다음 데이터가 유용합니다.

  • 이벤트 로그 스크랩을 사용하는 경우 다음 Active Directory 크기 데이터:

    • 단일 NSX Manager의 도메인 수

      포리스트 수

      사용자/포리스트 수

      사용자/도메인 수

      도메인당 Active Directory 그룹 수

      사용자/Active Directory 그룹 수

      Active Directory/사용자 수

      도메인 컨트롤러 수

      Active Directory 로그 서버 수

  • 다음 사용자 로그인 크기 데이터:

    • 분당 평균 사용자 수

  • VDI와 IDFW를 사용하는 배포 세부 정보:

    • VDI 데스크톱/VC 수

      호스트/VC 수

      VDI 데스크톱/호스트 수

  • Guest Introspection을 사용하는 경우:

    • VMTools 버전(Guest Introspection 드라이버)

      Windows Guest OS 버전